Las verificaciones de seguridad son medidas de seguridad adicionales para comprobar la identidad de un usuario. Existen dos tipos de desafíos de seguridad:
- Verificación de identidad: Si sospechamos que un usuario no autorizado está intentando acceder a una cuenta de Google Workspace, le pedimos que complete una verificación de identidad. Si el usuario no puede ingresar la información solicitada, no le permitiremos acceder a la cuenta.
- Desafío de verificación de identidad: Si un usuario intenta realizar acciones que se consideran sensibles, le presentamos un desafío de verificación de identidad. Si el usuario no puede ingresar la información solicitada, no permitimos la acción sensible (puede seguir usando su cuenta de forma normal).
Importante: Google aplicará la 2SV para las cuentas de administrador. Para obtener más información, consulta Acerca de la aplicación forzosa de la 2SV para administradores.
Antes de usar los desafíos de seguridad
Asegúrate de que tus cuentas de Google Workspace tengan la información que necesitamos:
- Recuérdales a los empleados que agreguen un número de teléfono y una dirección de correo electrónico de recuperación a su cuenta. Periódicamente, les pediremos que agreguen estos detalles cuando accedan a sus cuentas.
- Agrega IDs de empleado a tus cuentas de usuario. Para obtener más información, consulta Agrega un ID del empleado como método de verificación de identidad.
Tipos de verificaciones de identidad
El usuario confirma su identidad con su dispositivo móvil
El usuario elige cómo verificar su identidad
Google usa una app instalada en el teléfono del usuario para confirmar su identidad
Google envía un mensaje de texto con un código de verificación
Google llama al teléfono del usuario y le proporciona un código de verificación
El usuario ingresa su ID de empleado
Si agregaste el ID de empleado como verificación de identidad, los usuarios pueden usarlo para confirmar su identidad.
El usuario ingresa su correo electrónico de recuperación
Un usuario puede ingresar una dirección de correo electrónico de recuperación como desafío de acceso.
Desafíos de verificación de identidad para acciones sensibles
Si un usuario de Google Workspace intenta realizar una acción sensible, a veces se le presenta un desafío de verificación de identidad. Si el usuario no puede ingresar la información solicitada, Google no permitirá la acción sensible.
"Se bloqueó una acción sensible"
Para la mayoría de los usuarios que reciben un desafío de verificación de identidad para una acción sensible, se muestra una ventana con el título Se bloqueó una acción sensible. Se le indica al usuario que vuelva a intentarlo desde un dispositivo que use normalmente (como su teléfono o laptop) o desde la ubicación en la que acceda normalmente.
"No se puede completar esta acción en este momento"
Dado que algunos usuarios tienen dispositivos o llaves de seguridad que se agregaron recientemente a su cuenta, no pueden verificar su identidad de inmediato en respuesta a un desafío de seguridad. A estos usuarios se les muestra una ventana con el título No se puede completar esta acción en este momento. Estos usuarios pueden verificar su identidad después de que un dispositivo, un número de teléfono o una llave de seguridad se hayan asociado a su cuenta durante al menos 7 días.
Ejemplos de acciones sensibles
Estos son algunos ejemplos de acciones sensibles:
- Cómo inhabilitar la verificación en 2 pasos
- Cómo permitir que una app acceda a los datos de Google
- Cómo cambiar la dirección de correo electrónico o el número de teléfono de recuperación de la cuenta
- Cómo descargar datos de la cuenta
- Cómo cambiar el nombre de la cuenta
Habilita la verificación de identidad con el SSO
Si tu organización usa proveedores de identidad (IdP) externos para autenticar a los usuarios del inicio de sesión único (SSO) a través de SAML, puedes presentarles a estos usuarios del SSO desafíos de acceso adicionales basados en el riesgo y aplicar la verificación en 2 pasos (si está configurada) después de que el IdP autentique a un usuario durante el acceso.
El parámetro de configuración predeterminado de verificación posterior al SSO depende del tipo de usuario de SSO:
- Para los usuarios que acceden con el perfil de SSO heredado para tu organización, el parámetro de configuración predeterminado es omitir los desafíos de acceso adicionales y la 2SV.
- Para los usuarios que acceden con otros perfiles de SSO, el parámetro de configuración predeterminado es aplicar desafíos de acceso y 2SV adicionales.
Para cambiar la configuración predeterminada de cualquiera de los tipos de usuarios, sigue los pasos que se indican en Cómo configurar la verificación posterior al SSO a continuación.
Casos de uso para desafíos de acceso adicionales con SSO
- Quieres usar llaves de seguridad para proteger el acceso a los recursos sensibles alojados en Google y obtener la máxima garantía, pero tu IdP actual no admite llaves de seguridad.
- Quieres ahorrar el costo de usar un proveedor de identidad externo, ya que, en la mayoría de los casos, los usuarios acceden a los recursos de Google.
- No quieres la autenticación de Google (Google como proveedor de identidad), pero quieres aprovechar todas las verificaciones de identidad basadas en el riesgo de Google.
- Quieres que Google proteja las acciones sensibles dentro del ecosistema de Google.
Qué sucede cuando aplicas desafíos de acceso adicionales
Para una implementación sin problemas, informa a tus usuarios sobre la nueva política y cuándo planeas aplicarla. Esto es lo que sucede cuando aplicas desafíos de acceso adicionales:
- Si tienes políticas existentes de 2SV, como la aplicación de la 2SV, esas políticas se aplican de inmediato.
- Los usuarios afectados por la nueva política y que se inscribieron en la 2SV reciben un desafío de acceso con la 2SV cuando intentan acceder.
- Según el análisis de riesgo del acceso con Google, es posible que los usuarios vean desafíos de acceso basados en el riesgo durante el acceso.
Configura la verificación posterior al SSO
-
En la Consola del administrador de Google, ve a Menú
Seguridad Autenticación Desafíos de acceso.Es necesario tener el privilegio de administrador de Administración de seguridad del usuario.
- A la izquierda, selecciona la unidad organizativa en la que deseas establecer la política.
Para todos los usuarios, selecciona la unidad organizativa de nivel superior. Al principio, las unidades organizativas heredan la configuración de su unidad superior.
- Haz clic en Verificación posterior al SSO.
- Elige la configuración según cómo uses los perfiles de SSO heredados en tu organización. Puedes aplicar un parámetro de configuración para los usuarios que usan el perfil de SSO heredado para tu organización y para los usuarios que acceden con otros perfiles de SSO.
- En la esquina inferior derecha, haz clic en Guardar.
Google crea una entrada en el registro de auditoría del administrador para indicar cualquier cambio en la política.
Nota: En casos excepcionales, es posible que los datos de eventos de registro no estén presentes para todos los eventos. Estamos trabajando para resolver este inconveniente.
Preguntas frecuentes
Preguntas de seguridad y verificaciones de identidad adicionales | Verificación telefónica | Cómo inhabilitar una verificación de identidad o de acceso | Administradores
Preguntas de seguridad y verificaciones de identidad adicionales
¿Cuándo ve un usuario un desafío de seguridad?
Se le presenta al usuario el desafío de acceso cuando se detecta un acceso sospechoso, por ejemplo, cuando el usuario no sigue los patrones de acceso que ha mostrado en el pasado. Se le presenta al usuario un desafío de verificación de identidad si tiene una sesión riesgosa cuando intenta realizar una acción sensible.
Importante: Google decide qué tipo de desafío de seguridad es adecuado para presentarle a un usuario en función de varios factores de seguridad y usabilidad. Por ejemplo, es posible que la medida de verificación de identidad de ID de empleado no siempre se presente a un usuario específico, incluso si la activaste.
Como administrador, ¿puedo elegir qué tipo de verificación de identidad mostrar a mis usuarios?
La verificación en 2 pasos (2SV) es un tipo de verificación de identidad. Como administrador, puedes aplicar la verificación de identidad de 2SV para tus usuarios. De esta manera, no recibirán otro tipo de verificación de identidad basada en el riesgo.
Si no aplicas la 2SV para tus usuarios o si un usuario no la tiene activada, Google decide qué tipo de verificación de identidad es adecuado para presentarle a ese usuario. El tipo de desafío de acceso adecuado se basa en varios factores de seguridad y usabilidad. Por ejemplo, es posible que la medida de verificación de identidad de ID de empleado no siempre se presente a un usuario específico, incluso si la activaste.
¿Pueden los usuarios actualizar su información de recuperación?
Sí. Para obtener más información, consulta Cómo configurar un número de teléfono o una dirección de correo electrónico de recuperación.
Usamos la Verificación en 2 pasos. ¿Por qué necesitamos desafíos de acceso?
La verificación en 2 pasos (2SV) es un tipo de verificación de identidad. Cuando los usuarios la activen, no recibirán otro desafío de acceso. Por el mismo motivo, los informes de administrador muestran cada verificación en 2 pasos como un desafío de acceso.
¿Cómo funcionan las verificaciones de identidad cuando tengo habilitado el SSO?
Depende de cómo hayas configurado el SSO en tu organización:
- Si configuraste un perfil de SSO heredado para tu organización: De forma predeterminada, los desafíos de acceso no están habilitados. Sin embargo, puedes configurar la verificación posterior al SSO para permitir verificaciones de identidad adicionales basadas en el riesgo y la verificación en 2 pasos (2SV) si está configurada.
- Si usas otro perfil de SSO, se aplican automáticamente los desafíos de acceso adicionales (incluida la 2SV, si está configurada).
¿Esta función está disponible en las ediciones para instituciones educativas?
Sí, todas las ediciones de Google Workspace incluyen preguntas de seguridad adicionales y desafíos de acceso.
¿Cuándo considera Google que un intento de acceso es sospechoso?
Determinamos si un acceso es sospechoso cuando nuestro sistema de análisis de riesgos identifica un intento que se encuentra fuera del patrón normal de comportamiento del usuario. Por ejemplo, un usuario podría intentar acceder desde una ubicación inusual o de una manera asociada con el abuso.
Verificación telefónica
Si mis usuarios no tienen un teléfono corporativo, ¿existe otra forma de verificar sus cuentas?
Sí, existen diferentes tipos de desafíos de acceso. Según la información disponible para la cuenta de un usuario, se le presenta un tipo diferente de desafío de acceso, como ingresar su ID de empleado o su dirección de correo electrónico de recuperación. Si un usuario no tiene acceso a su teléfono, puede usar códigos de respaldo para acceder. Para obtener más información, consulta Accede con códigos de respaldo.
¿Cómo puede un usuario actualizar el número de teléfono o el correo electrónico de recuperación asociados a su cuenta?
El usuario puede actualizar la información de recuperación a través de la configuración de la cuenta.
¿Puede un usuario optar por verificar criterios distintos de su número de teléfono de recuperación?
Si el usuario no ingresa un número de teléfono de recuperación, se aplican otros tipos de desafíos de acceso, como ingresar su dirección de correo electrónico de recuperación o usar su ID de empleado.
Cómo inhabilitar una verificación de identidad
Si el usuario no puede verificar su identidad, ¿puedo inhabilitar el acceso o el desafío de verificación?
Sí, un administrador puede desactivar una verificación de identidad o un inicio de sesión durante 10 minutos.
En algunos casos, los usuarios autorizados no pueden verificar su identidad. Por ejemplo, puede suceder que no tengan señal de teléfono y no puedan recibir el código de verificación. O bien no recuerdan o no encuentran su ID de empleado. Si esto sucede, como administrador avanzado, puedes desactivar la verificación de identidad o el desafío de acceso durante 10 minutos para permitir que accedan o completen la acción sensible. Ten cuidado cuando desactives los desafíos de acceso o de verificación de identidad, ya que la cuenta será menos segura contra los piratas informáticos durante el período de 10 minutos.
¿Puedo desactivar los desafíos de inicio de sesión o de verificación de identidad para mi organización?
No, no puedes desactivar esta función para toda tu organización. Solo puedes desactivarla temporalmente para cada usuario.
¿El usuario puede desactivar esta opción por su cuenta desde la configuración de su cuenta?
No, solo un administrador puede desactivar temporalmente los desafíos de acceso o seguridad.
Verificaciones de identidad del administrador
¿Cómo puede volver a ingresar a su cuenta un administrador que no puede verificar su identidad?
Como administrador, puedes recuperar el acceso a tu cuenta siguiendo las indicaciones de la página de acceso para restablecer tu contraseña.
Si eres administrador de Google Workspace y tienes problemas para acceder a tu cuenta de administrador, consulta Cómo recuperar el acceso de administrador a tu cuenta para obtener instrucciones.
¿Qué sucede si un administrador avanzado no puede verificar su identidad?
Si un usuario administrador avanzado no puede verificar su identidad, otro administrador avanzado (si está disponible) puede desactivar temporalmente la verificación de identidad, como se describe en los pasos anteriores.
Como alternativa, el administrador avanzado puede omitir la verificación de identidad restableciendo su contraseña.
Nota: La opción de restablecimiento automático de contraseñas no está disponible para todos los superadministradores. Para obtener más información sobre la recuperación de la cuenta de administrador, consulta Agrega opciones de recuperación a tu cuenta de administrador.